Die Bedrohung durch Cyberkriminelle wächst unaufhaltsam. Die Cyberangriffe 2023 haben wieder einmal gezeigt, dass es Unternehmen jeder Branche und jeder Größe treffen kann.
Wir werfen einen Blick auf die 6 prominentesten Cyberattacken im Jahr 2023, ziehen wichtige Tipps daraus und nennen Trends für das Jahr 2024.
Cyberangriffe 2023: Gefahrenlage kritisch
Das Cybercrime blüht, wächst und gedeiht. Was für Cyberkriminelle ganz wunderbar klingt, ist für Unternehmen und Einrichtungen in Deutschland alles andere als das. Vielmehr sehen sie sich einer Bedrohungslage ausgesetzt, die das Bundesamt für Sicherheit in der Informationstechnik im BSI-Lagebericht 2023 als „angespannt bis kritisch“ beschreibt. Die Bedrohung durch Cybercrime, heißt es, ist so hoch wie nie zuvor.
Eine Hauptursache dafür sieht das BSI in der zunehmenden Vernetzung. Auf der Seite von Gesellschaft, Wirtschaft und Staat lässt sich dadurch eine kontinuierliche Vergrößerung der Angriffsfläche beobachten; auf der Seite der Cyberkriminalität dagegen sorgt sie für eine zunehmende Professionalisierung. Cyberkriminelle perfektionieren ihre Methoden, arbeiten verstärkt zusammen und bieten ihre Services anderen Kriminellen als Dienstleistung an. Die Cyberkriminalität hat sich zu einem Wirtschaftszweig entwickelt: Cybercrime-as-a-Service. Ganz speziell stellt Ransomware-as-a-Service ein großes Problem dar.
Dass von Ransomware nach wie vor das größte Schadenspotenzial ausgeht, zeigen auch zahlreiche Cyberattacken aus dem Jahr 2023. Unternehmen jeder Größe und aus jeder Branche geraten in das Visier der Angreifer.
Berühmte Cyberangriffe 2023 auf Unternehmen
Dementsprechend war Ransomware bei einem Großteil der Cyberangriffe 2023 beteiligt. Immer wieder ist es den Angreifern gelungen, die IT-Systeme von Unternehmen zu infiltrieren, Daten zu stehlen und zu verschlüsseln, um damit die doppelte Erpressung vorzubereiten. Das Ziel dabei ist immer dasselbe: Dadurch, dass eine Veröffentlichung der gestohlenen Daten droht, sollen Unternehmen einknicken und das geforderte Lösegeldes bereitwillig zahlen.
In anderen Fällen führten DDoS-Angriffe (Distributed Denial-of-Service) zum gewünschten Erfolg. Dabei überfluten Cyberkriminelle die IT-Systeme eines Unternehmens mit so vielen Anfragen, dass diese nicht mehr funktionieren. Dies kann zu erheblichen Betriebsstörungen führen. Es scheint, als würde die Zahl derartiger Attacken aktuell ansteigen.
Besonders auffällig war im Jahr 2023, wie häufig öffentliche Einrichtungen ins Visier der Cyberkriminellen gerieten – darunter Stadtverwaltungen, Landkreise und Hochschulen. Genauso scheinen Kritische Infrastrukturen, wie etwa Energieversorgungsunternehmen oder Krankenhäuser, besonders gefährdet. Aber auch Unternehmen sind weiterhin ein beliebtes – und lukratives – Angriffsziel. Größe und Branche scheinen dabei kaum eine Rolle zu spielen. Die sechs prominentesten Cyberangriffe 2023 auf Unternehmen stellen wir nachfolgend vor – und nennen Tipps für einen besseren Schutz!
1. Fall: Cyberangriff auf die Südwestfalen-IT
Durch einen Ransomware-Angriff auf die Südwestfalen IT (SIT) vom 29. auf den 30. Oktober 2023 wurden mehrere dutzende Kommunen urplötzlich ihrer IT-Infrastruktur beraubt – und zwar über Wochen. Die SIT ist ein kommunaler Zweckverband, der als Dienstleister die IT für 72 Kommunen in Nordrhein-Westfalen betreibt. Der Angriff war so schwerwiegend, dass die SIT eine Notabschaltung ihrer Systeme vornahm.
Durch die Notabschaltung konnte sich der Angriff zwar nicht auf die Systeme der Kommunen ausbreiten; da die Server der SIT durch die Ransomware verschlüsselt worden waren, kamen jedoch wichtige Dienstleistungen in den Kommunen zum Erliegen, darunter die Online-Terminvergabe bei Behörden oder die Auszahlung von Sozialhilfe und Wohngeld. Erst Ende November begann die Südwestfalen IT, die nicht betroffenen Systeme wieder hochzufahren, allerdings gestaltet sich der Prozess als schwieriger als erwartet.
Die Ermittlungen des Landeskriminalamts (LKA) NRW ergaben, dass die Akira-Hackergruppe für den Angriff verantwortlich ist. Sie hinterließ im Darknet eine Nachricht mit der Forderung, sich mit ihnen in Verbindung zu setzen, um über die Höhe des Lösegeldes zu verhandeln. Sowohl die Südwestfalen IT als auch die betroffenen Kommunen haben eine Lösegeldzahlung jedoch abgelehnt.
Unser Tipp:
Die offizielle Empfehlung lautet, keine Lösegelder zu zahlen. Warum? Zum einen weil nicht gewährleistet ist, dass das Entschlüsselungstool der Angreifer tatsächlich funktioniert; zum anderen weil die Täter oder Nachahmer sich ermutigt fühlen könnten, erneut anzugreifen.
2. Fall: Cyberangriff auf die Rheinische-Post-Gruppe
Fast eine Woche lang war der Online-Auftritt der Tageszeitung Rheinische Post im Juni 2023 lahmgelegt, vier Tage lang gab es die Printversion nur als Notausgabe – der Cyberangriff auf die Mediengruppe lässt sich nur als gravierend beschreiben. Auch andere Zeitungen der Gruppe, darunter der »General-Anzeiger«, die »Aachener Nachrichten«, die „Saarbrücker Zeitung“ und der „Trierische Volksfreund“, waren von dem Vorfall betroffen.
Der Hackerangriff ereignete sich am 16. Juni 2023, einem Freitagabend, und zwang das Medienunternehmen in den Notbetrieb. Das Einfallstor dabei war der hauseigene IT-Dienstleister circ IT GmbH & Co. KG. Im Zuge eines Supply-Chain-Angriffs weitete sich die Attacke dann auf die Websites der Zeitungen aus.
Anfangs ging man davon aus, dass kein Datendiebstahl stattgefunden habe. Ende August warnte die Mediengruppe ihre Kunden dann jedoch in einem Schreiben, dass man nicht „mit letzter Gewissheit ausschließen“ könne, dass doch Kundendaten erbeutet werden konnten – darunter Stammdaten, Kontaktdaten und Bankdaten. Bei der Überprüfung von etwa 1.200 betroffenen Servern sei ein Datenabfluss festgestellt worden. Die Kunden wurden daher dazu aufgerufen, ihre Konten in der nächsten Zeit auf nicht nachvollziehbare Abbuchungen zu überprüfen.
Unser Tipp:
Supply-Chain-Angriffe werden immer mehr zu einem Problem. Unternehmen sollten daher nicht nur ihre eigenen Sicherheitsmaßnahmen im Blick haben, sondern auch die der Zulieferer in ihrer Lieferkette. Das gilt auch für die Software-Lieferkette. Stücklisten sollen hier die Sicherheit verbessern.
3. Fall: Cyberangriff auf Motel One
Ein Hackerangriff auf die renommierte Hotelkette „Motel One“ hat die persönlichen Daten von Millionen Gästen ins Darknet katapultiert. Sechs Terabyte an gestohlenen Informationen, darunter Adressen, Rechnungsdaten und vereinzelt sogar Kreditkartendaten, wurden von der mutmaßlich russischen Hackergruppe AlphV (auch bekannt als BlackCat) veröffentlicht. Die Täter waren zuvor im Zuge einer Ransomware-Attacke in die internen Systeme der Motel-One-Gruppe eingedrungen; nachdem das geforderte Lösegeld nicht gezahlt wurde, erfolgte die Veröffentlichung der gestohlenen Daten.
Die brisanten Daten – teilweise aktuelle Daten, teilweise Daten aus der Zeit bis 2016 – enthalten neben Buchungsbestätigungen und Übernachtungslisten auch Geburtsdaten, interne Geschäftszahlen und Handynummern von Mitarbeitern. Besorgniserregend sind auch die sogenannten „Notfalllisten“: Sie enthalten die Namen der Gäste, das Datum ihres Check-Ins und die Zimmernummern und gewähren Gästen auch bei Systemstörungen Zugang.
Die Hotelkette mit derzeit 90 Hotels in 13 Ländern in Europa und den USA hatte den Angriff Ende September öffentlich gemacht, nachdem sie drei Wochen zuvor davon erfahren hatte. Sie gibt an, dass im Zuge der Sofortmaßnahmen ein zertifizierter IT-Sicherheitsdienstleister beauftragt und die zuständigen Ermittlungs- und Datenschutzbehörden eingeschaltet worden seien. Betroffene Kreditkarteninhaber habe man informiert. Dieter Müller, Gründer von Motel One, appelliert an die Bundesregierung, die Cyberabwehr zu stärken.
Unser Tipp:
Das Ausmaß des Angriffs verdeutlicht die Dringlichkeit, sich gegen Cyberbedrohungen zu wappnen und die Sicherheit digitaler Daten zu gewährleisten. Entscheidend ist, dass keine Sicherheitslücken vorliegen. Durch einen IT-Sicherheitscheck und einem Penetrationstest lässt sich feststellen, ob Schwachstellen im Unternehmensnetzwerk existieren.
4. Fall: Cyberangriff auf Toyota Financial Service
Schlagzeilen machte auch dieser Fall: Im November 2023 gelang der Ransomware-Gruppe Medusa ein Angriff auf die Toyota Kreditbank GmbH. Das in Köln ansässige Unternehmen ist die deutsche Niederlassung der Toyota Financial Services (TFS), bei der es sich wiederum um eine Tochtergesellschaft des japanischen Fahrzeugherstellers handelt.
Scheinbar hatten sich die Hacker unautorisierten Zugang zum System verschafft und (sensible) Unternehmensdaten gestohlen – unter anderem soll es sich dabei um Finanzdokumente, gehashte Kontopasswörter, Verträge, Ausweis-Scans, Benutzer-IDs und Passwörter im Klartext handeln. Die Erpresserbande gab Toyota eine Frist von zehn Tagen, um Lösegeld in Höhe von 8 Millionen US-Dollar zu zahlen und die erbeuteten Daten im Gegenzug löschen zu lassen. Toyota ging laut einer Pressemitteilung nicht auf diese Forderung ein.
Es wird vermutet, dass die Angreifer eine Schwachstelle in der Citrix-Software ausnutzten, um sich Zugang zu dem IT-System zu verschaffen. Der Hersteller hatte für die als Citrix Bleed bekannte Schwachstelle zwar schon am 10. Oktober ein Sicherheitsupdate bereitgestellt, dieses war bei der in Köln ansässigen Toyota Kreditbank GmbH aber scheinbar noch nicht durchgeführt worden, schreibt ein Sicherheitsforscher auf X.
Unser Tipp:
Sicherheitsupdates sollten ausgeführt werden, sobald sie zur Verfügung stehen. Andernfalls sind die zugehörigen Schwachstellen ein gefundenes Fressen für Cyberkriminelle. Mit einem Patch-Management sind Sie auf der sicheren Seite!
5. Fall: Cyberangriff auf Rheinmetall
Gleich zwei Mal hat es den DAX-Konzern Rheinmetall im Frühjahr 2023 getroffen: Nachdem der deutsche Rüstungs- und Technologiekonzern bereits im März zum Ziel einer DDoS-Attacke geworden war, folgte im April direkt der nächste Schlag. Während das Unternehmen den ersten Angriff weitgehend unbeschadet überstanden hatte, waren die Auswirkungen des zweiten Angriffs deutlich gravierender. Dieses Mal betraf der Angriff das zivile Geschäft von Rheinmetall und einigen Tochterunternehmen, das vor allem industrielle Kunden im Automotive-Sektor adressiert; das militärische Geschäft war von der Attacke nicht betroffen.
Rheinmetall selbst erklärte, dass der Angriff „zu Störungen in der IT-Infrastruktur“ geführt habe. Laut Berichten waren die Auswirkungen massiv. Bei der Rheinmetall-Tochter Kolbenschmidt wurde die Produktion am Tag des Cyberangriffs eingestellt, die Mitarbeiter wurden nach Hause geschickt. Danach herrschte wochenlang Notbetrieb. In der Produktion, in der unter anderem Teile für Audi und BMW gefertigt werden, mussten Maschinen händisch eingestellt und bedient werden, da Programme und Systeme nicht genutzt werden konnten.
Zu den weiteren Hintergründen gab es im Nachhinein keine weiteren Informationen. Möglich ist, dass die Hacker finanzielle Gewinne erzielen wollten; möglich ist aber auch, dass der Angriff wegen des Ukraine-Kriegs politischer Natur war.
Unser Tipp:
Entscheidend ist, im Falle des Falles besonnen zu handeln. Durch einen Desaster-Recovery-Plan und einen IT-Notfallplan wissen alle Beteiligten genau, was zu tun ist. Regelmäßige Notfallübungen helfen ebenfalls dabei, besonnen und effizient handeln zu können.
6. Fall: Cyberangriff auf ATU
Mit etwa 550 Filialen in Deutschland und Österreich und etwa 10.000 Beschäftigten ist die Werkstattgruppe ATU mit Sitz in Weiden in der Oberpfalz ein recht großes Unternehmen. Intern ging man davon aus, dass das Unternehmen durch moderne Sicherheitsvorkehrungen gut geschützt sei. Am 18. Mai 2023 haben Cyberkriminelle dann jedoch das Gegenteil bewiesen: Sie attackierten mit Hilfe von Ransomware mehrere Server und sorgten für zahlreiche Einschränkungen im Betrieb.
Der Service in den Werkstätten war zwar gesichert. Einige Systeme funktionierten aber nur noch eingeschränkt. Kunden konnten beispielsweise nicht mit Karte zahlen. Auch die telefonische Erreichbarkeit war nicht gewährleistet. Der Internetauftritt des Unternehmens war ebenfalls von dem Vorfall betroffen, sodass der Online-Shop nicht verfügbar war und das Terminverarbeitungssystem umgestellt werden musste. Mehrere Wochen lang kämpfte ATU mit den Folgen der Cyberattacke.
Die Ermittlungen der Kriminalpolizei in Weiden ergaben, dass die russische Hackergruppe Black Basta für den Hackerangriff verantwortlich war. Unklar ist aber nach wie vor, ob der Angriff tatsächlich auf ATU abzielte oder auf ein Münchner Unternehmen, das die Internetseite von ATU betreut. Dieses Unternehmen wurde nämlich wenige Tage später attackiert – mit dem Ergebnis, dass die Internetseite des Erzbistums Köln, einem weiteren Kunden, lahmgelegt wurde.
Unser Tipp:
Im Falle eines Cyberangriffs ist ein schnelles Handeln das A und O. Hilfreich ist es, wenn IT-Monitoring-Systeme als Frühwarnsysteme rechtzeitig warnen, sodass unverzüglich Gegenmaßnahmen eingeleitet werden können – zum Beispiel eine Notabschaltung. IT-Forensik-Experten helfen bei der Aufarbeitung.
Behörden und KRITIS-Einrichtungen ebenfalls gefährdet
Die beschriebenen Fälle zeigen, wie schnell es passieren kann, dass Unternehmen Cyberattacken zum Opfer fallen. Aber: In die Schlagzeilen zu den Cyberangriffen 2023 sind nicht nur Unternehmen geraten, sondern häufig auch öffentliche Einrichtungen oder Einrichtungen aus dem Bereich der Kritischen Infrastrukturen.
Der Landkreis Anhalt-Bitterfeld, die Stadt Kaltennordheim, die Verwaltungsgemeinschaft Hohe Rhön, die Stadt Bad Langensalza und das Landratsamt Ludwigsburg: Sie alle – und noch einige weitere – haben die leidvolle Erfahrung gemacht, was es heißt, in der Liste der Cyberattacken 2023 geführt zu werden. Auch Bildungseinrichtungen wie die Hamburger Hochschule, die Hochschule Kaiserslautern und die Hochschule Hannover können davon berichten, wie schwerwiegend so ein Hackerangriff ausfallen kann. Und nicht zuletzt können der Medizinische Dienst Niedersachen, die Bremer Kliniken im „Gesundheit Nord“-Verband, die Chemnitzer Verkehrsbetriebe oder auch die Deutsche Energie-Agentur Erfahrungsberichte beisteuern.
Fakt ist: Cyberkriminelle finden ihre Opfer in den unterschiedlichsten Bereichen der Gesellschaft. Häufig stecken finanzielle Interessen dahinter, weshalb Ransomware das Mittel der Wahl ist; häufig sind Angriffe aber auch politisch motiviert.
Cybercrime-Trends: ein kurzer Ausblick
Es ist davon auszugehen, dass das Jahr 2024 für viele Unternehmen mindestens genauso nervenaufreibend wird. Experten gehen davon aus, dass die Zahl der Cyberangriffe sogar noch weiter ansteigen könnte. Unter anderem weil Cyberkriminelle zunehmend Gefallen an Künstlicher Intelligenz finden. In vielerlei Hinsicht erweist sie sich als perfekter Komplize für KI-Angriffe: Sie kann in unzähligen Mengen perfekte Texte für Phishing-E-Mails und -Webseiten kreieren; sie kann dabei helfen, Schadcode zu schreiben; und sie kann täuschend echte Deepfakes erstellen, die für allerlei heimtückische Zwecke genutzt werden können.
Genauso ist davon auszugehen, dass die Vernetzung von Unternehmen und System weiter voranschreiten wird, wodurch sich die Angriffsmöglichkeiten für Cyberkriminelle zusätzlich erweitern werden. Bezüglich Vernetzung wird die Problematik der (Software-)Lieferketten Unternehmen sicherlich auch im Jahr 2024 begleiten.
Es gibt sicherlich noch viele weitere Herausforderungen, denen sich Unternehmen (im Cyberraum) stellen werden müssen. Welche genau das sind, werden wir hier im Blog ebenfalls noch vorstellen. Es gibt jedenfalls genügend Gründe dafür, dass Cybersicherheit für die Unternehmensführung eine große Rolle spielen sollte.
Cyberattacken 2023: So schützen Sie Ihr Unternehmen!
Die Frage ist eigentlich nicht, ob sondern wann ein Unternehmen zum Ziel eines Cyberangriffs wird – diese Annehme teilen so einige Experten. Jedes Unternehmen ist daher gut daran beraten, Sicherheitsmaßnahmen so umfassend wie nur möglich umzusetzen, damit die Attacke im Fall der Fälle komplett abgewehrt oder zumindest möglich frühzeitig erstickt wird. Aber wie genau lässt sich das „Projekt IT-Sicherheit“ am besten angehen?
Professionelle IT-Dienstleister stehen Unternehmen zur Seite, um sei bei der Absicherung des gesamten IT-Netzwerks zu unterstützen. Durch umfassende IT-Sicherheitscheck und Penetrationstest werden potenzielle Schwachstellen identifiziert. Anschließend entwickeln die Experten effiziente IT-Sicherheitskonzepte und setzen die erforderlichen Maßnahmen zur Abwehr von Cyberattacken in Absprache mit ihren Unternehmenskunden um.
Falls Sie in Ihrem Unternehmen ebenfalls Unterstützung benötigen, zögern Sie nicht, Kontakt zu einem Experten aus dem IT-SERVICE.NETWORK aufzunehmen. Unsere IT-Dienstleister sind gern bereit, auch Ihnen beim Schutz vor Cyberangriffen mit Rat und Tat behilflich zu sein.
Weiterführende Informationen:
Motel One, tagesschau, SPIEGEL, tagesschau, WDR, heise, heise, golem, golem, tagesschau, echo24, br, Unternehmen Cybersicherheit, golem, tagesschau
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung